พบช่องโหว่ ‘TORMOIL’ บน Tor Browser ระดับความรุนแรงสูงเตือนควรอัปเดต

Tor Project ออกแพตซ์อุดช่องโหว่ที่ทำให้ IP จริงของผู้ใช้งาน Tor Browser เวอร์ชัน 7.0.8 บน macOS และ Linux รั่วไหลออกสู่สาธารณะ เตือนให้ผู้ใช้งานอัปเดต Browser เวอร์ชันล่าสุดโดยด่วน

Tor Project ได้โพสต์ว่า “สืบเนื่องจาก Bug ที่เกิดขึ้นใน Firefox Browser เกี่ยวกับการจัดการ ‘file://’ URLs ซึ่งมีความเป็นไปได้ที่ข้อมูล IP ของผู้ใช้งานจะสามารถรั่วไหลได้ โดยเมื่อผู้ใช้งานใส่ URL แบบพิเศษนี้ลงไปในหน้า Browser ระบบปฏิบัติการจะ Bypass Tor Browser ไปยังเครื่อง Host โดยตรงเนื่องจาก Tor Browser ตั้งอยู่บน Firefox อีกทีหนึ่ง แม้ว่าโพสต์จะบอกว่าผู้ใช้งาน Tails หรือการใช้งาน Browser ที่มีฟังชันก์ AppArmor และการใช้งาน Tor Browser Sandbox จะไม่ได้รับผลกระทบในครั้งนี้ แต่ยังไม่เป็นที่แน่ชัดว่าเวอร์ชันก่อนหน้า 7.0.8 ได้รับผลกระทบด้วยหรือไม่

ผู้ค้นพบช่องโหว่นี้คือ Fillipo Cavallarin CEO จาก We Are Segment ได้แจ้งเตือนไปยัง Tor Project เมื่อวันที่ 26 ตุลาคม 2017 และทีมงาน Tor ก็ได้รับความช่วยเหลือจากที Mozilla เพื่อแก้ปัญหานี้ชั่วคราวในวันถัดมา ต่อมาวันที่ 31 ตุลาคม ทางทีม Tor ก็ได้ออกแก้ไขเพิ่มเติมให้ทุกรอยรั่วที่รู้  โดยทีมงาน Tor กล่าวว่า “Tor Browser เวอร์ชัน 7.0.9 นั้นเป็นเพียงการแก้ไขปัญหาชั่วคราวจากการรั่วไหลของ IP ที่อาจจะเกิดขึ้นได้จากการใส่ file://URLs ไม่ให้เกิดผลอย่างที่คิดกันไว้ และทีมงานคาดว่าจะออกแพตซ์เพิ่มเติมบน MacOS และ Linux สำหรับ Browser 7.0.9 เวอร์ชัน Alpha ภายในวันที่ 6 พฤศจิกายนนี้

Tor Project ได้ออกโครงการ Bug Bounty เมื่อเดือนกรกฎาคม เพื่อสนับสนุนให้นักวิจัยด้านความปลอดภัยแจ้งเตือนปัญหาที่พบภายใน Software มาที่ทีมงานแบบไม่เปิดเผย โดยโครงการนี้จะเปิดโอกาสให้กับนักล่า Bug ทุกคนผ่านหน้าเพจ HackerOne ไม่หมือนกับโครงการก่อนหน้าที่เปิดเฉพาะผู้ที่ได้รับคำเชิญเท่านั้น

ที่มา : https://threatpost.com/tor-browser-users-urged-to-pathch-critical-tormoil-vulnerability/128769




About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

นักวิจัยสามารถทำการโจมตีแบบ GPS Spoofing ได้สำเร็จกับระบบนำทาง

นักวิจัยจากมหาวิทยาลัย Virginia Tech, มหาวิทยาลัย Electronic Science และ Technology of China และทีมวิจัยของ Microsoft ได้ร่วมกันค้นพบวิธีการโจมตีแบบ GPS Spoofing …

GitHub ประกาศรองรับการตรวจช่องโหว่ในโค้ดภาษา Python แล้ว

GitHub ได้ออกมาประกาศรองรับการตรวจสอบช่องโหว่ที่ปรากฏบนโค้ดภาษา Python เรียบร้อยแล้ว